서울시, 시민 편의성 위해 공공와이파이 SSID 통일
SEOUL_Secure의 경우 WPA3 통한 암호화로 전송 데이터 안전하게 보호

[보안뉴스 이상우 기자] 서울시가 2021년 1월 1일부터 서울시 곳곳에 설치된 공공와이파이 SSID를 SEOUL(일반접속)과 SEOUL_Secure(보안접속)으로 통일한다. SSID란 쉽게 말해 와이파이 이름이다. 그간 공공와이파이는 운영 주체마다 구청 이름, 시설 이름 등으로 혼재해 있어, 사용자는 지역을 이동할 때마다 매번 새로운 SSID를 선택해 접속해야 하는 불편함이 있었다.


[이미지=utoimage]

향후 사용자는 일원화된 SSID를 통해 최초 1회 설정만 마치면 이후 공공와이파이 서비스 지역에서 별도의 설정 없이도 무선 인터넷을 바로 이용할 수 있다. SSID, 접속 ID/PW, 인증방식(WEP, WPA 등)이 동일한 공유기(AP)에는 최초 1회 설정 후 로그인하면 이후 자동으로 접속할 수 있다.

서울시 공공와이파이의 경우 보안접속인 SEOUL_Secure SSID가 이에 해당한다. 사용자는 와이파이 설정에서 ID/PW 항목에 ‘seoul’을 입력해 최초 로그인을 마치면 1만 2,000여 대의 공공와이파이 AP에 손쉽게 접속할 수 있다. 뿐만 아니라 향후에는 시내버스 및 버스 정류소, 이동통신사 개방 와이파이 등도 SEOUL_Secure을 추가하는 등 공공와이파이에 보안접속을 확대할 예정이다.

익히 들어온 것처럼 무료 와이파이는 상대적으로 위험하다. 대표적인 사례가 패킷 스니핑이다. 해당 AP가 WEP처럼 취약한 인증 프로토콜을 사용하고 있다면 공격자는 AP와 스마트폰 사이에 주고받는 정보를 감청할 수 있다. WEP의 경우 전송 데이터 암호화에 고정된 키를 사용하며, 이 고정 키는 와이파이 접속 시 사용하는 인증 키와 동일하다. 이 때문에 공격자가 이 키를 안다면 패킷을 감청하고, 암호화된 전송 데이터를 다시 되돌리는 것도 가능하다.

이와 달리, 보안접속 와이파이는 WPA 프로토콜을 이용한다. 전송 데이터를 암호화할 때 가변 키를 사용하며, 2세대 규격인 WPA2는 이보다 보안 기능을 개선한 것은 물론, AES(고급 암호화 표준)을 통해 데이터를 암호화한다. 물론 WPA2 역시 십여년 전에 등장한 기술이고, 이를 뚫는 방법 역시 등장했다. 이 때문에 등장한 것이 WPA3 프로토콜이다.

서울시는 ‘SEOUL_Secure’ SSID에 대해 새로운 보안 프로토콜인 WPA3를 적용할 계획이라고 밝혔다. WPA3의 경우 알기 쉬운 와이파이 접속용 ID/PW를 설정하더라도 일정 수준 이상의 보안을 보장할 수 있다. 앞서 언급한 것처럼 공공와이파이 ID/PW가 seoul/seoul처럼 단순하더라도 시스템상에서 자동으로 사용자를 보호할 수 있다.

뿐만 아니라 WPA3는 같은 네트워크에 연결된 기기의 데이터에 접근하는 것 역시 더 어려워졌다. AP에 연결되는 각 기기마다 개별적인 암호화 방식을 적용하기 때문에 공격자의 노트북이 동일한 네트워크에 연결해 암호화 알고리즘을 파악했다 하더라도, 같은 AP에 연결된 타인의 암호화 방식은 알 수 없다는 의미다.

물론 사용자가 주의해야할 부분도 여전히 존재한다. 바로 가짜 와이파이다. 공격자가 공공장소에서 SEOUL이나 SEOUL_Secure와 비슷한 SSID를 만들고 사용자를 자신의 가짜 AP로 접속하도록 유도하면 사용자 기기에서 가짜 AP로 전송되는 모든 정보가 탈취될 수 있다. 이 때문에 사용자는 불분명한 와이파이에 접속하는 것을 삼가고, 공개 와이파이에 자동으로 연결하는 기능 역시 끄는 편이 좋다. 또한, 서울시에서 공공와이파이 사용 시 가급적 SEOUL_Secure로 접속해 최초 설정을 해두면 향후 이용 시에도 가짜 와이파이에 접속할 가능성을 줄일 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>